crook

摘要： [CISCN2019 华北赛区 Day2 Web1]Hack World 这里测试了一下是空格被过滤了 这里知道了flag是在flag表李的flag字段 所以可以直接写脚本来做 点击查看代码 import requests import string def bool(url): flag = '' 阅读全文

摘要： 安卓 1 直接看SIM卡 2 虽然两个都有但是这里单选所以选择WhatsApp 3 这里并没有找到任何反追踪软件 wp也没有 4 在短信里面可以发现这里有验证码 所以时间是2022-08-18 5 代码是304313 6 在文档里面找到了他的工作证 7 图片里面打开第一张就是 这个创建时间和修改时间 阅读全文

摘要： 环境搭建 首先把源码下载下来这里就可以使用很多方法 可以直接使用Mobaxterm直接连接之后下载 或者使用FileZilla下载 这里是要下载WEB目录的源码一般是html那个文件夹 下载之后个人认为最简单的方法就是使用小皮来搭建 防御 D盾扫描 讲web目录拷下来然后直接使用D盾扫描 emmm结 阅读全文

摘要： SQL注入 [极客大挑战 2019]FinalSQL 打开环境 看下源代码有些什么 看来是没有藏东西 看下这五个神秘小代码 1 2 3 4 5 看来真是啥都没有 url是发生了变化的 输入6看看 说聪明但是不是这个表 说明我们之前显示出来的id=多少后面跟着的是表 然后再查询内容回显上来 尝试一下上 阅读全文

摘要： wzsc_文件上传【攻防世界(难度5)】 打开环境 很简介的一个页面，先看下源代码有啥东西不 很干净，直接上传一个php看看 这里直接跳转过来 看下有没有成功 没反应，上传一张图片看看 不管怎样都只有这一个界面 emmm,扫一下看看 果然扫出东西来了 这里有一个flag.php,虽然应该是没有看一下 阅读全文

摘要： 阅读全文

摘要： AWD简介 模式介绍 攻防模式 | AWD (Attack With Defense)这个是属于网络安全赛事中的一种 一般来说这个更加贴近于实战，不只是考验选手的漏洞挖掘能力，还有队漏洞的抵御能力 攻防模式一般来说己方有着一台到多台不等的靶机 在比赛中，对方和己方的靶机一样，没有区别，通过获取对方靶 阅读全文

摘要： WEB 疯狂星期四 打开环境 大致看一下这个过滤就知道这是一题RCE再看看过滤的字符串 这个应该就是无参数RCE 这里比较常用的getallheaders被ban掉了 这里就是用session来做 session_start()开启session session_id()获取session 这里我们 阅读全文

摘要： __construct() 类的构造函数，在类实例化对象时自动调用构造函数 代码演示 点击查看代码 <?php class A{ public $a='我是__construct'; function __construct(){ echo $this->a; } } $b = new A(); 这 阅读全文

摘要： 这篇文章是基于探姬制作的靶场来进行学习 要下载的话直接去github上下载就可以了 https://github.com/ProbiusOfficial/PHPSerialize-labs 直接用小皮就可以搭建了，具体搭建就是放在根目录就行了 这里不多阐述，顺便提一嘴，如果是想用docker搭建的师 阅读全文